研究员在Apple的Gatekeeper补丁中发现了错误
Apple Hasn“T完全修复了网守中的弱点,其安全技术阻止了从安装有害的应用程序。
Synack研究总监Patrick Watchle在接受采访时表示,他在10月份发布的补丁苹果逆转,发现它不是他预期的解决方案。
Waterlle发现他仍然可以绕过门卫,并安装恶意软件。他在星期天在Shmoocon安全会议上公开了他的最新调查结果,该会议在华盛顿州的星期五开始。
“释放贴片的贴片是固定的,没有解决问题,”沃德尔说。“用户会认为他们”重新拒绝时“重复安全。
Waterle广泛研究了OS X,发现了Apple修补的原始错误,CVE-2015-7024。
当用户下载应用程序时,网守检查它是否具有数字签名,并阻止那些不受苹果批准的人。
Waterle发现Gatekeeper仅验证用户双击的初始可执行文件。所以Watchle发现了Apple签名的一些其他代码,当运行时,将在同一目录中查找其他无符号和恶意可执行文件。
“问题是,网守不会验证第二个组件,”他说。
当他学习苹果的补丁时,他发现该公司只简单地将普通的苹果签名代码列入了他的概念证明代码。本质上,该公司将其列出了一些自己的文件。
Apple官员告诉他,他们“D阻止了他的目标攻击,但是Watchle说他指出他可以简单地使用不同的可执行文件来绕过补丁。他说,该公司已表示正在进行更有效的补丁,但他决定从用户仍然存在风险。
弱点也可用于中间人攻击,特别是当软件制造商不通过SSL / TLS(安全套接字层/传输层安全)提供其安装程序时。
在演示视频中,Watchle显示了如何将恶意代码注入一个应用程序,这是一个应用程序,这是一个应用程序,这是一个kaspersky antivirus软件包,其不会通过ssl传送。
“我们”重新回到广场,“他说。
令人惊讶的是,去年年初的伍德尔省了许多安全软件制造商仍然没有使用SSL来提供他们的安装人员。“这些家伙应该是安全专业人士,”他说。
这意味着具有网络访问的高级攻击者不会遇到一个中间人攻击并复制守望者的攻击。
在Shmoocon,Watchle将发布一个名为Ostiarius的工具 - Gatekeeper的拉丁语词 - 他说完成了Apple第一次修复网守所做的事情。
它监视OS X内核中创建的所有新进程。如果一个过程是数字签名并来自从互联网下载的可执行文件,它被停止了。
“这是一种全球方法,”沃德尔说。“它不在乎可执行文件是否由用户运行,或者攻击者是否滥用某些签名代码来踢掉。”
Ostiarius将发布在Waterle的网站上,该网站拥有他开发的OS X安全工具的集合。